点击夹克（UI纠正）

在本节中，我们将解释一下点击夹克是什么，描述点击夹克攻击的常见示例，并讨论如何防止这些攻击。

什么是点击夹克？

ClickJacking是一种基于接口的攻击，在该攻击中，通过单击诱饵网站中的其他内容，将用户诱使用户在隐藏网站上单击可操作的内容。beplay体育能用吗考虑以下示例：

网络beplay体育能用吗用户访问诱饵网站（也许这是电子邮件提供的链接），然后单击按钮赢得奖品。在不知不觉中，他们被攻击者欺骗了他们按下替代性隐藏按钮，这导致在另一个站点上支付帐户。这是点击式攻击的一个示例。该技术取决于在iframe中包含包含按钮或隐藏链接的隐形，可操作的网页（或多个页面）。beplay体育能用吗iFrame被叠加在用户预期的诱饵网页内容之上。beplay体育能用吗这次攻击与CSRF攻击要求用户执行一个操作，例如单击按钮，而CSRF攻击取决于在没有用户知识或输入的情况下伪造整个请求。

通常通过使用A来保护CSRF攻击CSRF令牌：特定于会话的单使用号码或nonce。点击插座攻击并未减轻CSRF令牌由于目标会话是通过从真实网站加载的内容以及所有请求进行的。beplay体育能用吗CSRF令牌作为正常行为会话的一部分，将其放入请求中并将其传递给服务器。与普通用户会话相比，该过程发生在隐藏的iFrame中。

实验室

如果您已经熟悉点击夹克漏洞背后的基本概念，并且只想练习在某些现实，故意脆弱的目标上利用它们，则可以从下面的链接中访问本主题中的所有实验室。

查看所有点击夹克实验室

如何构建基本的点击式攻击

点击式攻击使用CSS创建和操纵层。攻击者将目标网站纳入诱饵网站上覆盖的iframe层。beplay体育能用吗使用样式标签和参数的示例如下：

 <样式> #target_webbeplay体育能用吗site {位置：相对;宽度：128px;身高：128px;不透明度：0.00001;z索引：2;} #decoy_beplay体育能用吗website {位置：绝对;宽度：300px;身高：400px;z索引：1;}   ...   ...诱饵Web内容在这里...

目标网站IFRAME位beplay体育能用吗于浏览器中，因此使用适当的宽度和高度位置值与诱饵网站有一个与诱饵网站的精确重叠。绝对和相对位置值用于确保目标网站准确地重叠诱饵，而不管屏幕尺寸，浏览器类型和平台如何。beplay体育能用吗Z-INDEX确定iFrame和网站层的堆叠顺序。beplay体育能用吗不透明度值定义为0.0（或接近0.0），因此iFrame内容与用户透明。浏览器clicking夹克保护可能应用基于阈值的iframe透明度检测（例如，Chrome版本76包括此行为，但Firefox却没有）。攻击者选择不透明度值，以便在不触发保护行为的情况下实现所需效果。

实验室

学徒 CSRF代币保护的基本点击夹克

用预填充表单输入点击夹克

一些需要表beplay体育能用吗单完成和提交的网站允许在提交之前使用获取参数对表单输入进行预先申请。其他网站可能beplay体育能用吗需要文本提交之前。由于获取值构成URL的一部分，因此可以修改目标URL以合并攻击者选择的值，并且像基本的ClickJacking示例一样，在诱饵站点上覆盖了透明的“提交”按钮。

实验室

学徒用URL参数预先填写的表单输入数据点击夹克

框架破坏脚本

只要网站被构架，就可以进行点击插座攻击。beplay体育能用吗因此，预防技术基于限制网站的框架功能。beplay体育能用吗通过Web浏览器制定的常见客户端保护是使用框架破坏或框架破坏脚本。beplay体育能用吗这些可以通过专有浏览器JavaScript附加组件或扩展名（例如NoScript）实现。脚本通常是制作的，以便它们执行以下某些或全部行为：

检查并强制执行当前的应用程序窗口是主要或顶部窗口，
使所有帧可见，
防止单击无形帧，
向用户拦截和标志潜在的点击式攻击。

框架破坏技术通常是浏览器和平台特定于浏览器，并且由于HTML的灵活性通常可以被攻击者绕过。由于框架打电话是JavaScript，因此浏览器的安全设置可能会阻止其操作，或者实际上浏览器甚至可能不支持JavaScript。针对框架克星的有效攻击者解决方法是使用HTML5 iframe沙箱属性。当将其设置为允许形式或者允许书本值和允许步行省略了值，则可以将框架Buster脚本中和，因为IFRAME无法检查它是否是顶部窗口：

这俩允许形式和允许书本值允许在iframe中进行指定的操作，但最高级别导航被禁用。这会抑制框架破坏行为，同时允许在目标站点内进行功能。

实验室

学徒用框架buster脚本点击插锁

将点击夹克与DOM结合XSS攻击

到目前为止，我们已经将Click Jacking视为一种独立的攻击。从历史上看，Click Jacking已被用来执行诸如在Facebook页面上增强“喜欢”之类的行为。但是，当将其用作另一个攻击（例如DOM XSS攻击。假设攻击者首先确定了XSS漏洞利用，那么这种组合攻击的实现相对简单。然后将XSS Exploit与IFRAME目标URL结合使用，以便用户单击按钮或链接，然后执行DOM XSS攻击。

实验室

从业者利用点击夹克漏洞触发基于DOM的XSS

多步点插孔

攻击者操纵目标网站的输入可能需要多个操作。beplay体育能用吗例如，攻击者可能想欺骗用户从零售网站购买商品，因此需要在下订单之前将物品添加到购物篮中。beplay体育能用吗这些动作可以由攻击者使用多个部门或IFRAME实施。这样的攻击需要从攻击者的角度进行相当大的精确和照顾，如果它们有效和隐形。

实验室

从业者多步点插孔

如何防止点击夹克攻击

我们已经讨论了一种常见的浏览器侧预防机制，即框架破坏脚本。但是，我们已经看到，攻击者规避这些保护措施通常很简单。因此，已经设计了服务器驱动的协议，该协议限制了浏览器iframe使用情况并减轻了clickjacking。

Click Jacking是一种浏览器端行为，其成功或其他方式取决于浏览器功能和合规性，以盛行Web标准和最佳实践。beplay体育能用吗通过定义和传达对使用诸如iFrames之类的组件的约束来提供的服务器端保护免受点击夹克。但是，保护的实施取决于浏览器的合规性和这些约束的执行。服务器端点击夹克保护的两种机制是X框架选项，内容安全策略。

X框架选项

X框架最初是在Internet Explorer 8中作为非正式响应标头引入的，它在其他浏览器中迅速采用。标题为网站所有者提供了对使用iframe或对象的beplay体育能用吗使用的控制否定指示：

X框架选项：否认

另外，框架可以使用与网站相同的来源beplay体育能用吗Sameorigin指示

X框架选项：Sameorigin

或使用该网站使用beplay体育能用吗允许从指示：

x-frame-options：允许https：//normal-website.cobeplay体育能用吗m

X框架不会在浏览器之间始终如一地实现（允许从例如，Chrome版本76或Safari 12中不支持指令。但是，当作为多层防御策略的一部分，与内容安全策略一起适当地应用，它可以提供有效的保护，以防止点击夹克攻击。

内容安全策略（CSP）

内容安全策略（CSP）是一种检测和预防机制，可缓解诸如XSS和Click Jacking之类的攻击。CSP通常在Web服务器中作为表单的返回标头实现：beplay体育能用吗

内容安全政策：政策

政策是一连串的政策指令，被分号分开。CSP为客户端浏览器提供有关允许的Web资源来源的信息，浏览器可以应用于恶意行为的检测和拦截。beplay体育能用吗

推荐的点击夹克保护是合并框架应用程序内容安全策略中的指令。这框架“无”指令的行为类似于X框架选项否定指示。这框架 - 自我'指令大致等同于X框架选项Sameorigin指示。以下CSP白名单仅框架到同一域：

内容 - 安全性：框架 - 熟悉的人'自我'；

或者，框架可以局限于命名站点：

content-security-policy：frame-ancestors normal-wbeplay体育能用吗ebsite.com;

为了有效地防止点击夹克和XSS，CSP需要仔细开发，实施和测试，并应作为多层防御策略的一部分。